Der Entwurf sieht Ausnahmeregelungen für staatliche Verwaltungen vor. Von einem „falschen Signal“, auch an die „Wirtschaft, die jetzt viel breiter reguliert wird“, sprach Andreas Könen, Senior Fellow des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS). Es werde unterschieden zwischen Ministerien und Kanzleramt auf der einen Seite, die höhere Anforderungen erfüllen müssten, und den Bundesbehörden, die unter den schon erreichten Regulierungsstand zurückfielen. Mit Blick auf die Ausnahmen, die für nachgeordnete Behörden gemacht werden, sagte Timo Kob, Vorstandsmitglied der HiSolutions AG, einem Unternehmen aus dem Bereich IT- und Security-Management: „Wenn man sagt, dass Ketten nur so stark sind wie das schwächste Glied, dann haben wir hier ein Cybersicherheitsschwächungsgesetz.“ Ein Glaubwürdigkeitsproblem sieht Felix Kuhlenkamp Referent für Sicherheitspolitik beim Branchenverband Bitkom, in die gleiche Kerbe schlägt Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die aktuell formulierten Ausnahmen könne man sich nicht leisten – es entsteht ein „massives Glaubwürdigkeitsproblem, wenn wir selbst nicht bereit sind zu tun, was wir von der Wirtschaft erwarten.“ Cybersicherheit sei inzwischen nationale Sicherheit, die brauche das Gesetz dringend. Indes müssten IT-Sicherheitsvorgaben für alle Bereiche der Bundesverwaltung gleichermaßen gelten. Für bestehende Kritische Infrastrukturen ändern Richtlinie und Gesetz wenig, aber für rund 30.000 nach dem Gesetz „besonders wichtige“ und „wichtige“ Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten.
Cybersicherheit: Gesamtgesellschaftliche Aufgabe
Wie Kuhlenkamp weiter ausführt, sei aus Sicht der deutschen Wirtschaft die Kommunikation und Unterstützung für regulierte Einrichtungen verbesserungswürdig. In anderen Ländern würden die betroffenen Unternehmen von der Regierung aktiv informiert. In Deutschland müssten hingegen die 30.000 neu betroffenen Unternehmen selbst herausfinden, ob sie von NIS-2 betroffen sind. Boris Eisengräber, Leiter Cyber Security des Softwareunternehmens Schwarz Digits betonte, dass allein die unterschiedlichen Umsetzungen der EU-Richtlinie in den einzelnen Mitgliedsstaaten für international tätige Unternehmen eine Herausforderung darstellen. Ein effektives Cybersicherheitsniveau sei eine gesamtgesellschaftliche Aufgabe. Unklar bleibe die Rolle des BSI im nationalen Verwaltungsgefüge – das kritisierte Prof. Dr. Dennis-Kenji Kipker, deutsch-japanischer Rechtswissenschaftler und Professor für IT-Sicherheitsrecht an der Universität Bremen. Diese sei nicht angetastet worden – und das, obwohl das BSI nicht nur in seiner Rolle als Zentralstelle für Cybersicherheit einen massiven weiteren Ausbau erfahren solle, sondern mit NIS-2 auch zahlreiche weitere Befugnisse erhalten werde. BSI-Präsidentin Plattner plädierte für die Ansiedlung eines „starken“ Chief Information Security Officers – CISO Bund – in ihrem Hause. Haya Shulman, deutsch-israelische Expertin für Netzwerk und Computersicherheit und Professorin an der Johann-Wolfgang-Goethe-Universität in Frankfurt am Main, forderte, dessen Funktion im Gesetzesentwurf zu konkretisieren. Ein CISO sei stets Teil der Organisation, für deren Cybersicherheit er verantwortlich ist, benötige aber ein hohes Maß an Autonomie hinsichtlich Kommunikation in und außerhalb der Organisation und hinsichtlich der Ausübung seines Vetorechts. Insgesamt sei die mit der NIS-2-Umsetzung verbundene Chance zur Erreichung einer harmonisierten IT-Sicherheitsregulierung vertan, bringt es Dr. Sven Herpig, Leader Cybersecurity Policy and Resilience bei interface, auf den Punkt. Deutschland behalte nun neben seiner fragmentierten IT-Sicherheitsarchitektur, seiner fragmentierten IT-Cybersicherheitsstrategie auch eine fragmentierte IT-Sicherheitsregulierung. „Das ist weder effektiv noch effizient im Sinne der Cybersicherheit dieses Landes“, sagte er.
Copyright Bild: Unsplash / Hans Eiskonen